Compartir a través de


Configuración de servicios de federación de Active Directory en un modelo de confianza de certificados híbridos

En este artículo se describen las funcionalidades o escenarios de Windows Hello para empresas que se aplican a:


Las implementaciones basadas en certificados de Windows Hello para empresas usan AD FS como entidad de registro de certificados (CRA). La CRA es responsable de emitir y revocar certificados a los usuarios. Cuando la entidad de registro comprueba la solicitud de certificado, firma la solicitud de certificado con su certificado de agente de inscripción y la envía a la entidad de certificación.
La CRA se inscribe para un certificado de agente de inscripción y la plantilla de certificado de autenticación de Windows Hello para empresas está configurada para emitir solo certificados a las solicitudes firmadas con un certificado de agente de inscripción.

Nota

Para que AD FS compruebe las solicitudes de certificado de usuario para Windows Hello para empresas, debe poder acceder al https://enterpriseregistration.windows.net punto de conexión.

Configuración de la entidad de registro de certificados

Inicie sesión en el servidor de AD FS con credenciales equivalentes de administrador de dominio .

Abra un símbolo del sistema de Windows PowerShell y escriba el siguiente comando:

Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true

Nota

Si asignaste nombres diferentes a las plantillas de certificado del Agente de inscripción de Windows Hello para Empresas y la autenticación de Windows Hello para empresas, reemplaza WHFBEnrollmentAgent y WHFBAuthentication en el comando anterior por el nombre de las plantillas de certificado. Es importante que uses el nombre de plantilla en lugar del nombre de plantilla para mostrar. Puede ver el nombre de la plantilla en la pestaña General de la plantilla de certificado mediante la consola de administración de plantilla de certificado (certtmpl.msc). O bien, puede ver el nombre de la plantilla mediante el Get-CATemplate cmdlet de PowerShell en una CA.

Inscripción de certificados del agente de inscripción

AD FS realiza su propia administración del ciclo de vida de los certificados. Una vez configurada la entidad de registro con la plantilla de certificado correcta, el servidor de AD FS intenta inscribir el certificado en la primera solicitud de certificado o cuando el servicio se inicie por primera vez.

Aproximadamente 60 días antes de la expiración del certificado del agente de inscripción, el servicio AD FS intenta renovar el certificado hasta que se realice correctamente. Si el certificado no se renueva y el certificado expira, el servidor de AD FS solicita un nuevo certificado de agente de inscripción. Puedes ver los registros de eventos de AD FS para determinar el estado del certificado de agente de inscripción.

Pertenencias a grupos para la cuenta de servicio de AD FS

La cuenta de servicio de AD FS debe ser miembro del grupo de seguridad de destino de la inscripción automática de la plantilla de certificado de autenticación (por ejemplo, Windows Hello para usuarios empresariales). El grupo de seguridad proporciona al servicio AD FS los permisos necesarios para inscribir un certificado de autenticación de Windows Hello para empresas en nombre del usuario de aprovisionamiento.

Sugerencia

La cuenta de adfssvc es la cuenta de servicio de AD FS.

Inicia sesión en el controlador de dominio con unas credenciales equivalentes a las de Administrador de dominio.

  1. Abre Usuarios y Equipos de Active Directory
  2. Busque el grupo de seguridad destinado a la inscripción automática de la plantilla de certificado de autenticación (por ejemplo, Windows Hello para usuarios empresariales).
  3. Seleccione la pestaña Miembros y seleccione Agregar.
  4. En el cuadro de texto Escriba los nombres de objeto para seleccionar, escriba adfssvc o sustituya el nombre de la cuenta de servicio de AD FS en la implementación > de AD FS Aceptar.
  5. Seleccione Aceptar para volver a Usuarios y equipos de Active Directory.
  6. Reinicio del servidor de AD FS

Nota

Para AD FS 2019 y versiones posteriores en un modelo de confianza de certificados, existe un problema conocido de PRT. Puede encontrar este error en los registros de eventos de administrador de AD FS: Se ha recibido una solicitud de Oauth no válida. El cliente "NAME" está prohibido acceder al recurso con el ámbito "ugs". Para obtener más información sobre el isse y su resolución, consulte Aprovisionamiento de confianza de certificados con AD FS roto en Windows Server 2019.

Revisión de sección y pasos siguientes

Antes de pasar a la sección siguiente, asegúrese de que se han completado los pasos siguientes:

  • Configuración de la entidad de registro de certificados
  • Actualizar la pertenencia a grupos de la cuenta del servicio AD FS